网络通信 频道

内网也要安全 浅谈交换机的安全特性

目前网络的安全性能是人们最为关注的问题之一。而其中局域网和企业内部网络当中的安全性更是成为焦点。许多的解决方案被人们提出来解决网络的安全问题。作为网络中应用最为广泛的交换机,如何能开发其安全特性以有效的保护对网络的访问,一些组织和厂商也纷纷提出自己的安全策略。例如现在通过多层交换机特性来提高网络的安全和对带宽的控制已经相当的普遍。随着一些安全特性如访问控制列表(ACL)和802.1x标准已经成为许多厂商产品的标准,一些使用者开始了把它们作为网络设施安全的一个单独增加的层次。 

  二层的以太网在大多数的商业和其他的组织中是局域网访问的最重要的网络,所以二层交换机的厂商不断的增强交换机的智能性。这种智能交换机可以以IP地址查找数据包,这些数据包存在于网络的三层或者四层当中。许多的二层交换机能够处理基于从二层到四层的数据包流,这样大大提高了交换机的服务质量和网络安全策略。 大部分的局域网交换机厂家如,阿尔卡特,3COM,思科,戴尔,惠普等等已经在他们的交换机产品当中包含了这些特性。 

  在网络设备厂商看来,加强安全性的交换机是对普通交换机的升级和完善,除了具备一般的功能外,这种交换机还具备普通交换机所不具有的安全策略功能。这种交换机从网络安全和用户业务应用出发,能够实现特定的安全策略,限制非法访问,进行事后分析,有效保障用户网络业务的正常开展。实现安全性的一种作法就是在现有交换机中嵌入各种安全模块。现在,越来越多的用户都表示希望交换机中增加防火墙、VPN、数据加密、身份认证等功能。下面就介绍几种常见的交换机安全策略。 

  802.1x标准 

  作为一种局域网的安全特性802.1x可能仍然有许多的用户不是非常了解。并且网络的设计者和管理者通常不是非常广泛的应用这种授权标准。原因非常简单802.1x依赖于Windows XP客户端,唯一的支持这种技术的Windows 桌面操作系统。 

  IEEE 802.1x协议是一个把网络设备授权给客户的标准。它替代了局域网的目录,例如微软的活动目录, Novell的目录服务器或者轻量目录访问协议服务器。一些安全专家表示,这是一个更加有效的保护局域网安全的措施,因为一些不能登陆目录服务器的客户通常都能够发现并使用网络资源,如打印机,没有安全共享的存储器和对因特网的访问。 

  一些网络服务管理者表示802.1x非常的实用,但是它的兼容性是它不能广泛使用的一个重要原因。目前有许多人并不采纳802.1x协议,因为很明显如果采用802.1x那些使用Macintosh和Linux的用户将被排斥在外。这些是非常矛盾的一件事情,有非常多的网络设备都支持802.1x协议,但是却只有非常少的客户能够使用它。 

  流量控制技术 

  把流经端口的异常流量限制在一定的范围内。许多交换机具有基于端口的流量控制功能,能够实现风暴控制、端口保护和端口安全。流量控制功能用于交换机与交换机之间在发生拥塞时通知对方暂时停止发送数据包,以避免报文丢失。广播风暴抑制可以限制广播流量的大小,对超过设定值的广播流量进行丢弃处理。 不过,交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制,将广播、组播的异常流量限制在一定的范围内,而无法区分哪些是正常流量,哪些是异常流量。同时,如何设定一个合适的阈值也比较困难。 

  访问控制列表(ACL)技术 

  ACL通过对网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。ACL是一张规则表,交换机按照顺序执行这些规则,并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。由于规则是按照一定顺序处理的,因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。 

  虚拟局域网(VLAN)技术 

  虚拟局域网是人们非常熟悉的一个交换机功能。也是应用广泛的一个安全策略。虚拟局域网络是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。 

  从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:1、基于端口的VLAN划分,2、基于MAC地址的VLAN划分,3、基于路由的VLAN划分。就目前来说,对于VLAN的划分主要采取上述第1、3种方式。 

  通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。而且通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。这样也使的网络管理变的简单、直观。 

  “惩罚箱”策略 

  下面介绍一种基于交换机的安全策略。目前一些学校发现一些学生总是尝试着攻击学校的数据库服务器,或者一些学生下载大量的多媒体文件,这些事情对网络拥塞非常严重使得网络访问变的很慢。针对这些问题,学校里使用了三层和四层交换机,并且建立安全策率以限制网络带宽和网络访问,这样有效的防止的学生的黑客行为和对带宽的占用。 

  这些方法也被一些使用私用网络的公司中的E1交换机所采用。这些E1交换机支持三层和四层的服务例如基于IP地址,UDP协议端口和媒体访问控制层(MAC)地址的速度限制和访问控制列表(ACL)。UPN软件可以有效的利用这些特性使得网络的管理人员制定一些策略和具有一定限制的访问角色:一个全部特性的角色可能包括对全部服务的访问,并且保证在每秒100M的速度。而一个具有限制的角色(受限制的访问者或者和“惩罚箱”有关的一些人)可能被禁止对因特网的访问,只保留了一些电子邮箱和企业内部网服务的访问。并且被限制在一个比全部特性角色要低的带宽。 

  在一些学校里ACL也被用来限制学生的活动,通过限制一定的IP地址组访问服务器和其他的禁止学生反问的资源就可以很好的保护网络的安全和性能。思科的 Catalyst 3550 和2950交换机就具有三层ACL,包过滤和802.1x授权的功能,可以很好的用来保护校园网络中局域网的安全。这些智能的局域网交换机可以帮助学校使学生访问更多的服务而同时又能保护重要的资源如财务系统的服务器---仅仅可以让授权的用户访问。 

  小结: 

  下面我们总结一下上述所涉及到的技术和协议。许多的交换机都支持下面的这些功能,使用这些技术和协议可以很好的帮助用户对网络资源的访问控制。 


产品简单介绍产品不足
访问控制列表(ACL)
 使用三层和四层信息,交换机可以阻止或者允许基于服务器和客户IP地址的网络访问。让网络管理者根据用户的需要分配给他们适合的角色。难于管理,需要对许多的网络设备进行配置。
虚拟局域网虚拟局域网可以用来把用户划分成若干小组,仅仅允许用户使用他们需要的网络资源。不能保证完全的安全,子网间的路由可以引起网络拥塞。
802.1x一个IEEE的授权协议,可以强制网络用户在访问任何设备和资源之前先要登陆到网络。虽然很多的交换机设备都具有这个功能,但是只有Window XP客户支持这种协议。
流量控制技术此技术可以使管理者控制每个交换机端口的带宽。它可以用来限制一定种类的传输带宽,如对等网络带宽。也可以有效的防止DOS攻击,并且不影响网络性能。主要应用在私有网络中,一些高端的交换机具有这种功能。


  现在,业界普遍认为安全应该遍布于整个网络之内,内网到外网的安全既需要通过防火墙之类的专业安全设备来解决,也需要交换机在保护用户方面发挥作用。目前,绝大多数用户对通过交换机解决安全问题抱积极态度,很多用户打算今后在实践中对交换机采取安全措施,希望通过加固遍布网络的交换机来实现安全目标。

 

文章转载地址:http://www.365master.com/kt_article_show.php?article_id=10498&categ_code=10261004

0
相关文章